Neue EU-Richtlinie: Höhere Strafen bei Datenschutz-Verstößen

Neue EU-Richtlinie: Höhere Strafen bei Datenschutz-Verstößen

Verstöße gegen bestehende Datenschutzvorschriften können für Unternehmen künftig teurer werden als bisher. Der Europäische Datenschutzausschuss (kurz: ESDA) hat ein neues Bußgeld Modell beschlossen. Betroffen sind vor allem große und umsatzstarke Unternehmen.

Der ESDA – das gemeinsame Abstimmungsgremium der europäischen Datenschutzbehörden – hat am 12. Mai 2022 einen Beschluss zur Berechnung von Bußgeldern bei Datenschutzverstößen veröffentlicht. Das 40-seitige Konzept soll in der Europäischen Union und im Europäischen Wirtschaftsraum zu einer Vereinheitlichung der Geldbußen bei DSGVO-Verstößen führen. Doch wie genau sieht das in der Praxis aus und was bedeutet das Konzept für Unternehmen?

Datenschutz-Verstöße: Das galt bisher

Die Idee eines Bußgeld-Konzepts für Datenschutz-Verstöße ist nicht neu. Bereits 2019 stellten die deutschen Datenschutzbehörden ein Modell zur Berechnung von DSGVO-Bußgeldern vor. Es galt jedoch nur für Unternehmen mit Sitz in Deutschland. Ähnliche Konzepte existierten auch in anderen europäischen Ländern.

Das führte bei der Bestrafung von Datenschutzverstößen zu einer – mitunter erheblichen – Diskrepanz. Während einige Mitgliedsstaaten eher niedrige Geldbußen verhängten, mussten Unternehmen in anderen Ländern für vergleichbare Verstöße Geldbußen in zwei- oder dreistelliger Millionenhöhe zahlen.

Europaweite Vereinheitlichung der Bußgelder

Doch damit soll jetzt Schluss sein. Das unter dem Titel „Guidelines on the calculation of administrative fines under the GDPR“ (übersetzt: Richtlinien zur Berechnung von administrativen Strafen gemäß Datenschutz-Grundverordnung) vorgestellte Dokument löst Bußgeld-Konzepte auf nationaler Ebene ab.

Zukünftig müssen alle Datenschutzbehörden der europäischen Mitgliedsstaaten das EU-Konzept bei der Verhängung von DSGVO-Bußgeldern anwenden.

Wie genau läuft das Verfahren ab?

Das EU-Konzept sieht eine 5-Schritte-Überprüfung des Datenschutzverstoßes vor. Zunächst ist zu bestimmen, welches Verhalten sanktioniert werden soll. Anschließend bewertet die Behörde die Schwere des Verstoßes und legt einen Ausgangsbetrag für das Bußgeld fest. Dieser orientiert sich am geltenden gesetzlichen Höchstbetrag und bemisst sich wie folgt:

  • Verstoß von geringer Schwere: Ausgangsbetrag zwischen 0 und 10 Prozent des gesetzlichen Höchstbetrags
  • Verstoß mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des gesetzlichen Höchstbetrags

Von Bedeutung ist auch der Umsatz des Unternehmens. Es gilt: Je höher der Umsatz, desto höher das finale Bußgeld. Im nächsten Schritt prüft die Datenschutzbehörde, ob erschwerende oder mildernde Umstände vorliegen und ob die gesetzlichen Höchstbeträge eingehalten wurden. Abschließend wird festgestellt, ob der ermittelte Endbetrag wirksam, verhältnismäßig und vor allem abschreckend ist.

Je größer, desto teurer: Diese Unternehmen sind betroffen

Zweifelsohne sind umsatzstarke Unternehmen vom neuen EU-Konzept am stärksten betroffen. Während Betriebe mit einem Jahresumsatz von unter 2 Mio. Euro lediglich 0,2 Prozent des Ausgangsbetrags zahlen müssen, droht Unternehmen mit einem Jahresumsatz von mehr als 250 Mio. Euro ein Bußgeld i.H.v. mindestens 50 Prozent des Ausgangsbetrages. Ein Unterschied, der vor allem in Mitgliedstaaten, die bisher eher niedrige DSGVO-Bußgelder verhängt haben, zu deutlich höheren Strafen führt.

Allerdings gesteht die ESDA den europäischen Datenschutzbehörden einen Handlungsspielraum zu. Die Bußgeld-Berechnung solle stets anhand der konkreten Umstände des Einzelfalls erfolgen und keineswegs ein „rein mathematischer Vorgang“ sein, so das Gremium.

Wie sollten Datenschutzbeauftragte und Unternehmen reagieren?

Datenschutzbeauftragte sollten ihr Unternehmen über den neuen Beschluss und die damit verbundenen Risiko-Änderungen umfassend informieren. So lassen sich rechtzeitig entsprechende Verteidigungs- und Vermeidungsstrategien entwickeln. Erschwerend kommt hinzu, dass Unternehmen nach den neuen ESDA-Richtlinien direkt für alle Handlungen oder Unterlassungen ihrer Vertreter haften.

Aus diesem Grund ist es – insbesondere für umsatzstarke Konzerne – unerlässlich, konkrete Handlungsempfehlungen für Mitarbeiter zu formulieren, um das Risiko einer hohen DSGVO-Geldbuße zu minimieren.

Gemeinsam für das Internet der Zukunft

Gemeinsam für das Internet der Zukunft

„Declaration for the Future of the Internet“ – so heißt die Erklärung, die die Europäische Union gemeinsam mit den USA und 32 weiteren internationalen Partnern am 22. April 2022 vorgelegt hat. Sie beinhaltet Grundsätze, um das Internet zu einem sicheren Ort und vertrauenswürdigen Raum für alle Nutzer zu machen.

Offen, frei, zuverlässig und sicher: So sieht das Internet der Zukunft aus. Zumindest, wenn es nach der Europäischen Union, den USA und ihren internationalen Partnern geht. Diese haben im Rahmen einer Sitzung des nationalen Sicherheitsrates in Washington eine gemeinsame Erklärung vorgestellt, welche die Vision und Grundsätze für ein vertrauenswürdiges Internet zusammenfasst.

Das dreiseitige Dokument solle sicherstellen, dass „die Werte, die wir offline hochhalten, auch online geschützt werden“, so die Präsidentin der EU-Kommission, Ursula von der Leyen.

Grundsätze für ein sicheres Internet

In den Vordergrund stellt die Erklärung vor allem die demokratischen Grundsätze. Grundfreiheiten und Menschenrechte müssen – so die Unterschreibenden – zukünftig auch im Internet stärker geschützt werden. Darüber hinaus sollen die Grundsätze der Netzneutralität gewahrt und allen Nutzern der Zugang zu rechtmäßigen Inhalten und Diensten ermöglicht werden.

Das Internet solle als „dezentralisiertes Netz funktionieren, in dem digitale Technologien auf vertrauenswürdige Weise genutzt werden können“, heißt es in der Erklärung.

Kritik an autoritären Regimes

Besorgt zeigen sich die Unterzeichnenden durch die Tatsache, dass autoritäre Regierungen die Freiheit des Internets unterdrücken.

Die Erklärung spricht damit vor allem Länder an, in denen die gezielte Verbreitung von Desinformationen zu Propagandazwecken genutzt wird wie aktuell im Krieg zwischen Russland und der Ukraine. Weiterhin kritisieren die Partnerstaaten Cyberangriffe und die übermäßige Konzentration wirtschaftlicher Macht im Internet.

Ein Ausblick auf die Zukunft

Mit der „Declaration for the Future of the Internet“ sprechen sich alle unterzeichnenden Länder für eine internationale Zusammenarbeit aus.

Man wolle gemeinsam gegen Unterdrückung, illegale Inhalte und Menschenrechtsverletzungen im Internet vorgehen, um die Konnektivität und Rechtsstaatlichkeit zu wahren. Wie die konkrete Umsetzung in der Praxis aussehen wird, soll ab Sommer 2022 auf verschiedenen Workshops von Partnern sowie der Multi-Stakeholder-Gemeinschaft erörtert werden.

Online-Sicherheit: Britischer Gesetzesvorschlag droht Tech-Führungskräften mit Gefängnis

Online-Sicherheit: Britischer Gesetzesvorschlag droht Tech-Führungskräften mit Gefängnis

Facebook, Twitter, TikTok, Instagram und Youtube stehen regelmäßig in der Kritik, nicht entschlossen genug gegen schädliche Inhalte auf ihren Plattformen vorzugehen. In Großbritannien soll ein neues Gesetz Führungskräfte von Tech-Unternehmen künftig persönlich haftbar machen und droht mit Gefängnisstrafen.

Der Entwurf des neuen Online-Sicherheitsgesetz wurde am 17.03.22 dem Gesetzgeber zur Einsicht vorgelegt und soll noch dieses Jahr verabschiedet werden. Das Gesetz soll den Druck auf Internetunternehmen erhöhen, proaktiv und schnell gegen illegale und schädliche Inhalte auf ihren Plattformen vorzugehen. Der britischen Medienaufsichtsbehörde Ofcom werden dabei weitreichende Befugnisse erteilt, sie kann im Falle einer Nichteinhaltung der Vorgaben erhebliche Geldstrafen von bis zu 10% des globalen Jahresumsatzes verhängen, ganze Webseiten blockieren und einzelne Führungskräfte persönlich verfolgen.

Der Gesetzesentwurf im Überblick

Besonderer Fokus liegt dabei auf Inhalten, die Terrorismus, Selbstmord, Rachepornografie und sexuellen Missbrauch von Kindern fördern. Dem ursprünglichen Entwurf aus dem Jahr 2019 wurden außerdem neue Aspekte hinzugefügt:

  • Die Verfolgung von Cyber-Flashing als Straftatbestand.
  • Die verpflichtende Alter-Verifizierung bei pornografischen Inhalten.
  • Verhinderung von Online-Betrug.
  • Die Möglichkeit und das Recht des Einspruchs, wenn ein Nutzer glaubt, seine Beiträge seien zu unrecht entfernt worden
  • Eine Strafverfolgung soll bereits zwei Monate nach Inkrafttreten erfolgen können, nicht wie ursprünglich geplant nach zwei Jahren.

Zudem sieht der Entwurf die Ausweitung auf legale, aber trotzdem potentiell schädliche Inhalte vor. Was genau diese schädlichen Inhalte sind, soll später definiert werden. Nachrichteninhalte und journalistische Berichterstattung sollen laut DCMS (Department for Digital, Culture, Media and Sport) von den Regularien ausgeschlossen sein

Firmen müssen kooperieren

Aber nicht nur die Nichterfüllung der Vorgaben könnte künftig gravierende Folgen haben, Firmen werden mit Inkrafttreten des Gesetzes verpflichtet, mit der Aufsichtsbehörde zu kooperieren. Ofcom erhielte dann weitreichende Befugnisse, könnte Zutritt zu Geschäftsräumen verlangen und Daten und Ausrüstung zur Beweissicherung inspizieren. Ofcom müsste zudem der Einblick in die Algorithmen, die für das Anzeigen von Inhalten ausschlaggebend sind, gewährt werden. Falschaussagen, das Zerstören von Beweismitteln und die Behinderung der Behörde würden damit ebenfalls strafbar.

Britisches Online-Sicherheitsgesetz soll globalen Standard setzen

In einer Pressemitteilung spricht das DCMS von einem „Meilenstein“ im Kampf für ein digitales Zeitalter, das für die Nutzer sicherer ist und in dem die Technikfirmen mehr Verantwortung übernehmen müssen. Und Ben Packer, Partner der Anwaltskanzlei Linklaters sieht sogar die Möglichkeit einer Vorreiterrolle. „Die britische Regierung hofft sicherlich, dass das Online-Sicherheitsgesetz einen globalen Standard setzen wird“, sagte Packer in einer Erklärung. „Da viele Plattformen weltweit eine weitgehend konsistente Benutzererfahrung aufrechterhalten möchten, kann dies letztendlich der Fall sein.“ 

Rekordstrafe: WhatsApp soll 225 Millionen Euro zahlen

Rekordstrafe: WhatsApp soll 225 Millionen Euro zahlen

Irlands Datenschützer haben eine Strafe in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Der Vorwurf: fehlende Transparenz bei der Weitergabe persönlicher Nutzerdaten. WhatsApp hat angekündigt in Berufung zu gehen.

Die Ermittlungen in diesem Fall wurden bereits im Dezember 2018 aufgenommen. WhatsApp wurde vorgeworfen, nicht den Bestimmungen der DSGVO zu folgen und die Erfassung und Weitergabe persönlicher Nutzerdaten nicht transparent zu machen. Im Besonderen ging es dabei um den Datenaustausch zwischen WhatsApp und anderen Unternehmen der Facebook-Gruppe, zu der seit 2014 auch WhatsApp gehört.

WhatsApp und Facebook immer wieder in der Kritik

WhatsApp steht schon lange in der Kritik, Daten an den Mutterkonzern Facebook weiterzuleiten.
Bereits 2017 wurde Facebook zu einer Strafe von 110 Millionen verurteilt, weil das Unternehmen 2014 behauptet hatte, es sei nicht möglich Nutzerdaten von WhatsApp mit anderen Diensten der Facebook-Gruppe zusammenzuführen – dies später aber doch gemacht hatte.

Ein Blick in die aktuelle Datenschutzrichtlinie zeigt deutlich, dass auch weiterhin sehr wohl Daten ausgetauscht werden:

„Als Teil der Facebook-Unternehmen erhält WhatsApp Informationen von anderen Facebook-Unternehmen und teilt auch Informationen mit anderen Facebook-Unternehmen […]“ WhatsApp – Datenschutzrichtlinie

„WhatsApp arbeitet auch mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit diesen […]“ WhatsApp – Datenschutzrichtlinie

Als Zweck dieses Datentransfers wird in der Datenschutzrichtlinie das Fördern von Sicherheit und Integrität der Dienste bzw. das Verbessern, Betreiben, Anpassen und Vermarkten der Dienste angegeben.

Und Facebook liest doch mit!

Was die Inhalte der Chats betrifft, so verweist WhatsApp auf seine Ende-zu-Ende Verschlüsselung. Heißt: Die Nachricht wird auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Niemand – auch nicht das Unternehmen selbst – könne die Nachrichten einsehen.

„Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur du und die Person, mit der du kommunizierst, lesen bzw. hören könnt, was gesendet wurde – und niemand dazwischen, nicht einmal WhatsApp“ WhatsApp – Sicherheit und Datenschutz

Das Investigative Journalistennetzwerk ProPublika beschreibt in einem Beitrag „How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users“, wie Facebook das Versprechen umgeht: Nachrichten die über den „Report“-Button als vermeintliche Verstöße gegen die Nutzungsbedingungen gemeldet werden, werden unverschlüsselt an des Unternehmen gesendet.

„WhatsApp erhält die neuesten Nachrichten, die du von dem gemeldeten Benutzer oder der gemeldeten Gruppe empfangen hast, sowie Informationen zu deinen neuesten Interaktionen mit diesem Benutzer oder dieser Gruppe.“ WhatsApp – Sicherheit und Datenschutz

Wird eine Nachricht gemeldet, so werden laut ProPublika die entsprechende Nachricht, sowie die vier Vorherigen des Absenders inklusive aller Bilder und Videos in unverschlüsselter Form an WhatsApp geleitet. Diese Nachrichten werden von Mitarbeitern – mehr als tausend davon soll es laut ProPublica für diese Aufgabe geben – schließlich bezüglich der gemeldeten Verstöße geprüft.

Metadaten abgegriffen

WhatsApp könne zumindest in dieser Hinsicht nicht komplett alle Nachrichten mitlesen, aber das Prozedere über die Meldefunktion sei letztendlich auch nur ein Teil einer breiter angelegten Überwachung. Zusätzlich würden automatisiert die unverschlüsselten Daten der Nutzer erfasst und mit verdächtigen Kontoinformationen und Nachrichtenmustern abgeglichen. Teil dieser Daten seien Name, Profilbild, Statusnachricht, Telefonnummer, IP-Adresse, Telefon-ID und Facebook- und Instagram Konten des Nutzers. Diese Daten ließen sich mit anderen Inhalten verknüpfen.

Entsprechende Vorwürfe kratzen weiterhin am Bild des sicheren Messengers, das der Konzern selbst gerne zeichnet. Dass WhatsApp – anders als Facebook und Instagram – keine entsprechenden Transparenz-Reports, die eine prüfende und moderierende Tätigkeit der Mitarbeiter offenlegen, herausgibt, ist ebenfalls Anlass zur Kritik.

Max Schrems zum Urteil

Der Datenschützer Max Schrems von Noyb hat sich zum Urteil zu Wort gemeldet, seine Organisation begrüße die erste Entscheidung der irischen Aufsichtsbehörde. Er relativiert aber auch, die 225 Millionen Euro entsprächen lediglich 0,08 Prozent des Umsatzes der Facebook Gruppe, die DSGVO sehe aber Geldbußen von bis zu vier Prozent des Umsatzes vor. Zudem habe die DPC von anderen europäischen Datenschutzbehörden erst gezwungen werden müssen, die Strafe von ursprünglich 50 Millionen Euro auf 225 Millionen Euro zu erhöhen. Das zeige, dass die irische Datenschutzbehörde immer noch extrem dysfunktional sei.

Die Irische Datenschutzbehörde DPC (Data Protection Commission) spielt häufig eine Schlüsselrolle bei Verfahren gegen internationale Tech Unternehmen, die aus steuerlichen Gründen ihre Hauptsitze für den Europäischen Raum gerne nach Irland verlegen.

WhatsApp hat Berufung angekündigt

WhatsApp bezeichnet die Strafe als „vollkommen unangemessen“ und will in Berufung gehen. Laut Schrems zeigt sich hier ein weiteres Problem: „Im irischen Gerichtssystem bedeutet das, dass es Jahre dauern wird, bis die Strafe tatsächlich gezahlt wird.“ Er könne sich vorstellen, dass die DPC einfach nicht zu viele Ressourcen in den Fall stecken oder sich mit WhatsApp in Irland irgendwann „einigen“ werde. Gleichzeitig kündigt Schrems auch an: „Wir werden diesen Fall genau beobachten, um sicherzustellen, dass die Datenschutzbehörde diese Entscheidung auch wirklich umsetzt.“

Tauziehen um Microsoft Teams an Schulen

Tauziehen um Microsoft Teams an Schulen

Veränderte Arbeitsbedingungen durch Covid haben zu einer starken Verbreitung  von Konferenz- und Videosoftware geführt. Auch an Schulen wurde der Einsatz entsprechender Software für den Distanz-Unterricht nötig. Vielerorts hat man sich für das Videokonferenztool Microsoft Teams entschieden – doch Datenschützer warnen schon länger vor dessen Einsatz.

Im Zuge der Covid-Pandemie wurde der Präsenz-Unterricht an Schulen eingeschränkt und zeitweise ganz ausgesetzt. Das Lernen wurde notgedrungen ins virtuelle Klassenzimmer verlegt. Ein Sprung ins kalte Wasser für viele Bildungseinrichtungen, denn eine zuverlässige digitale Infrastruktur war fast nirgends vorhanden. Einheitliche Lösungen gab es von Anfang an nicht, vielmehr kamen eine Vielzahl an Kollaborations- und Kommunikationstools zum Einsatz.

So auch das Internetportal Mebis – ein Akronym für Medien, Bildung, Service – des bayerischen Kultusministeriums, das aber häufig durch Ausfälle von sich reden machte. Nutzer kritisierten regelmäßige Überlastungen zu Spitzenzeiten und Probleme beim Einloggen. Weil von offizieller Stelle keine zuverlässigen Lösungen angeboten werden konnten, setzten nicht wenige Schulen letztendlich auf bewährte Produkte von Microsoft.

Distanzunterricht mit Microsoft Teams

Mit Microsoft 365 stellt der Software-Riese aus den USA für diese Zwecke ein umfassendes Arbeitspaket aus klassischen Büroanwendungen – darunter bekannte Programme wie Word, Excel und Power-Point, verschiedenen Cloud-Diensten zur Verfügung. Über gestaffelte Raten-Pläne stehen die Dienste Privatanwendern, aber auch kleinen, mittelständischen und Großunternehmen, sowie Bildungseinrichtungen zu Verfügung. Wesentlicher Bestandteil der Pakete ist Microsoft Teams, eine Plattform über die in Chats oder Meetings kommuniziert werden kann, über die aber auch im Unterricht Dateianhänge ausgetauscht werden können.

Problem Drittstaatenübermittlung

Am Anfang stand erst einmal die Funktionalität der verwendeten Software im Vordergrund und man froh war, Schülern eine stabile Plattform für den Distanz-Unterricht bieten zu können, aber schon bald wurden Bedenken in Hinblick auf den Datenschutz laut. Speziell Microsoft Teams stand hier im Fokus. Denn auch wenn das Unternehmen mit transparenten Datenschutzkontrollen und Schutz vor unbefugtem Zugriff auf personenbezogene Daten wirbt, so bemängeln Kritiker, dass zu viele Daten erfasst und auf den Servern in den USA gespeichert würden. Diese Erfassung verstoße gegen die DSGVO. Einige Bundesländer beschlossen daraufhin Microsoft Teams komplett aus dem Schulalltag zu verbannen, Verträge wurden nicht über das Schuljahr 2020/2021 hinaus verlängert.

Alternative made in Germany

Geht es nach dem Kultusministerium wird in Bayern soll künftig  die Software Visavid der Firma Auctores GmbH, mit Sitz in Neumarkt in der Oberpfalz zum Einsatz kommen. Die Software sei zu „100 Prozent Made in Germany“ und biete eine hohes Sicherheitslevel und individuelle Anpassungsmöglichkeiten, wirbt der Hersteller.

Allerdings wurden auch bei Visavid bereits Schwachstellen gefunden, so soll es vorübergehend möglich gewesen sein, sich  unbemerkt in die Schalten einzuschleichen, dort Inhalte mitzuschneiden und auch zu teilen. Die Sicherheitslücke wurde mittlerweile geschlossen.

Nicht alle Nutzer für einen Umstieg

Es gibt aber nicht nur Kritik an Microsoft Teams. Denn eines steht fest: ein Umstieg auf eine andere Software ist fast immer auch mit Problemen oder zumindest Unannehmlichkeiten verbunden. Bereits bestehende Datensätze müssen auf die neue Plattform migriert werden und dort auch problemlos funktionieren. Das ist mit  einem nicht unerheblichen Aufwand verbunden. Außerdem müssen sich Nutzer, die sich mit einem Programm auseinandergesetzt, sich eingearbeitet und sich eine gewisse Routine in der Anwendung angeeignet haben, erst einmal umgewöhnen. Es ist also zu erwarten, dass es im neuen Schuljahr Anlaufschwierigkeiten geben wird, wenn eine neue Software eingesetzt werden soll.

Deshalb gibt es Petitionen wie die des Berufsschülers Pascal Braun, die mittlerweile mehr als 10.000 Menschen unterzeichnet haben . (Petition auf change.org) Seine Forderung: Microsoft Teams soll bleiben. Das sei für einen reibungslosen Schulalltag und eine angemessene Vorbereitung auf das Arbeitsleben von Nöten. Man könne Pseudonyme und kryptische Emailadressen verwenden, so würden keine Klarnamen oder personenbezogene Daten weitergegeben.

Weitreichende Datenerfassung – oder doch nicht?

Dabei stellt sich auch die Frage, wie die Datenschutz-Problematik bei der Verwendung von Microsoft Teams quantitativ und qualitativ zu bewerten ist. In sozialen Medien werden tagtäglich personenbezogene und oftmals sehr sensible Daten erfasst, gerade Jugendliche sind hier gefährdet und oft nicht genug sensibilisiert. Aus den Daten lassen sich komplexe Persönlichkeits-Profile erstellen, die dann vielseitig und gewinnbringend weiterverwendet und auch weiterveräußert werden können. Microsoft hingegen dürfte als Hard- und Softwareentwickler die erfassten Daten hauptsächlich an der Weiterentwicklung und Verbesserung der eigenen Produkte einfließen lassen.

Doch ein Argument lässt sich scher entkräften: während die private Nutzung von Social-Media Plattformen die freiwillige Entscheidung eines jeden Einzelnen ist, werden Schüler, Eltern und Lehrer durch die Entscheidung der Schule oder Schulbehörde  praktisch verpflichtet, über entsprechende Softwarelösungen am Distanzunterricht teilzunehmen.

Datenschutz vs. Bildungsauftrag

Aktuell ist es Sache der Länder, mit welchen Lösungen künftig gearbeitet werden soll. In Bayern wurde bereits im Frühjahr angekündigt, dass der Lizenzvertrag mit Microsoft mit Ende des Schuljahres 2020/2021 nicht mehr verlängert werde. Nach jetzigem Stand kommt an bayerischen Schulen künftig Visavid zum Einsatz. Der DSGVO-konforme Einsatz sollte dann gewährleistet sein, auch wenn die Software in Sachen Funktionsumfang dem ausgereiften Microsoft-Paket hinterherhinkt. Inwieweit die Software auch reibungslos funktioniert, wird sich zeigen – sofern im neuen Schuljahr überhaupt Distanzunterricht erforderlich sein wird.

Neue Regeln für Cookies – Bundestag beschließt neues TTDSG

Neue Regeln für Cookies – Bundestag beschließt neues TTDSG

Am 20. Mai 2021 wurde das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz TTDSG) verabschiedet. Es wird ab dem 1.12.2021 in Kraft treten. Ein wichtiger Bestandteil dieses Gesetzes betrifft die Neuregelung über die Verwendung von Cookies, die im Paragrafen 25 festgelegt worden ist.

 

Was ist neu und muss künftig beachtet werden?

Zum Schutz der Privatsphäre der Nutzer von Endeinrichtungen können Cookies zukünftig grundsätzlich nur nach vorheriger Einwilligung verwendet werden. Darüber ist der jeweilige Nutzer im Vorfeld klar und umfassend zu informieren.

Ausnahmen von dieser Regelung gelten hauptsächlich für technisch notwendige Cookies. Zu diesen Ausnahmen gehören:

  • Cookies, die notwendig sind, um die Durchführung von Datenübertragung in einem öffentlichen Telekommunikationsnetz zu gewährleisten.
  • Cookies, die notwendig sind, um Daten für einen Telemediendienst zu übermitteln, dem der Nutzer bereits zugestimmt hat.

Damit soll gewährleistet werden, dass Tracking- oder Werbecookies nur nach vorheriger Information und Einwilligung des Endnutzers verwendet werden dürfen.

 

Hohe Bußgelder drohen bei ordnungswidrigem Verhalten

Das Speichern von Informationen in Form von Cookies ohne Information und Einwilligung ist eine Ordnungswidrigkeit. Dabei ist es unerheblich, ob der Vorgang vorsätzlich oder fahrlässig erfolgt. Je nach Umfang und Schwere des Vergehens gibt es Bußgelder in unterschiedlicher Höhe in den Staffelungen:

  • Bis zu Euro 10.000
  • Bis zu Euro 50.000
  • Bis zu Euro 100.000
  • Bis zu Euro 300.000

Das neue Gesetz sieht zusätzlich vor, dass der Browser des Endnutzers die von ihm vorgenommenen Einstellungen bezüglich der Nutzung von Cookies zu beachten hat.

 

Welche Voraussetzungen gelten für Dienste zur Einwilligungsverwaltung von Cookies?

Der Gesetzgeber stellt hohe Ansprüche an die Verwalter von Cookie Einwilligungen:

  • Nutzerfreundliche und wettbewerbskonforme Verfahren
  • Technische Voraussetzungen für die Einholung und Verwaltung von Einwilligungen
  • Kein wirtschaftliches Eigeninteresse an der Datenerfassung
  • Unabhängigkeit von kommerziellen Unternehmen
  • Keine weitere Nutzung der gespeicherten Daten
  • Sicherheitskonzept bezüglich aller Erfordernisse des Datenschutzes
  • Hohe Qualitätsstandards in Bezug auf Zuverlässigkeit

Exakte Vorgaben für die Einwilligungsverwaltungsdienste werden noch bis zum Inkrafttreten des Gesetzes am 1.12.2021 in einer Rechtsverordnung festgelegt.